Actualités

BRATA : trois nouvelles variations observées pour le trojan bancaire, allant jusqu’à la réinitialisation complète du terminal infecté !

Dans un billet sécuritaire du 24 Janvier 2022, les chercheurs de Cleafy évoquent de nouveaux éléments concernant BRATA, un trojan bancaire  de type Malware-as-a-Service. Remontant, au moins, à 2019, sa mise en lumière originelle (Brésil) évoquait un modus operandi reposant sur l’envoi frauduleux d’un SMS à la future victime : une fois celui-ci tapé (écran) et les identifiants saisis, le porte-feuille électronique pouvait être intégralement liquidé tout en ex-filtrant, au passage, bon nombre d’informations sensibles voire personnelles, telles que les photos, les contenus audios, d’autres mots de passe voire, entre-autres, des informations relatives au paiement en ligne. S’émancipant, fin Juin 2021, vers l’Italie et sous l’appellation “Sicurezza Dispositivo (ou AntiSPAM), deux nouvelles “vagues” ont été observées, respectivement, en Novembre et mi-Décembre 2021, ciblant, cette fois, d’autres pays : Royaume-Uni, Pologne, en plus de l’Italie et des continents latins (en passant, est-il par ailleurs souligné, par l’Espagne et la Chine).

 

 

Concernant ces trois variations, voici un bref résumé :

 

  • Variation 1 : avènement de deux nouvelles fonctionnalités. D’une part, le suivi par GPS (géo-localisation) qui s’acquiert au détour d’une permission-utilisateur et, d’autre part, réinitialisation (via un kill-switch) aux paramètres d’usine. Serveur command-and-control reposant sur des envois chiffrés ou compressés (zlib)  ;

 

  • Variation 2 : Variation 1 + “obscurcissement partiel du code” et exploitation des pages Overlay (superposition) pour ex-filtrer le code PIN du terminal et, donc, les informations de l’application bancaire. Serveur command-and-control reposant sur des envois HTTP (WebSocket) en clair ;

 

  • Variation 3 : la viralité (.APK) est instillé depuis un dropper initialement installé sur le système de la victime. L’ensemble est adaptatif pour passer sous les radars anti-virus (revisite chronique du code).

 

 

Tout comme pour le malware originel, une interception-message (demandant l’autorisation, code) suffit pour détourner ce dernier : une fois l’application mobile (tronquée) installée par la victime (en cliquant sur le bouton dédié), cela déclenche, côté command-and-control, un appel-requête (GET) pour télécharger la charge virale (.APK).

 

Informations de paiement, mouvements bancaires : de nombreuses informations peuvent être vues, lues depuis l’écran tout en permettant, au besoin, d’effectuer des captures-écran de ces informations et de les envoyer sous HTTP. L’enregistrement des touches-clavier est aussi possible et sera également redirigé vers le serveur frauduleux.

Selon les estimations des chercheurs, il est à craindre que le malware puisse perdurer voire se développer en toute quiétude, du fait de son adaptabilité ou de sa possibilité, par exemple, à se mouvoir au détour d’autres applications mobiles (tierces) sous Android… A veiller !

 

 

 

Source : Cleafy – 24 Janvier 2022 – BRATA : trois nouvelles variations + deux nouvelles fonctionnalités majeures (+ indicateurs de compromissions).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6